2022 : bilan de l’année

Janvier, la fin du Far West annoncée pour les Gafam ?
En gros, deux textes – le DSA et le DMA[1] – visent à encadrer pour le premier le commerce des services numériques (Digital Services Act) et, pour le second des biens, (Digital Markets Act) par les grosses entreprises. Les Gafam ne sont jamais mentionnés mais clairement ciblés, si l’on en croit l’intense activité de lobbying à laquelle s’est livré Alphabet, la maison mère de Google, lobbying dénoncé par Thierry Breton (commissaire européen responsable du marché intérieur) et qui a dû aller suffisamment loin pour que Sundar Pichai, le PDG d’Alphabet, présente en personne ses excuses.

Février
Le temps froid et en général maussade n’empêche pas votre serviteur de ferrailler avec M^e Brac de La Perrière sur l’épineuse question du partage de données en santé, ni, en pleine affaire McKinsey, de dérouler les règles de bon usage des sociétés de conseil.

Mars
Tout juste après l’invasion de l’Ukraine, il pleut des notes de service en tout genre sur les patches des systèmes, les scans externes, les précautions habituelles de sécurité. C’est vrai qu’avant on ne s’en préoccupait pas du tout !

Avril
Plusieurs prunes délivrées par la Cnil, où la nouvelle tendance semble être de charger le sous-traitant qui prend (quasiment) tout pour lui. En même temps, quand on voit le niveau de maturité général des fournisseurs au regard du RGPD (j’ai testé les telco pour vous, certains sont à pleurer), ça fait peur.
Ah oui ! Avril, c’est le congrès de l’Apssis. Excellent comme d’habitude.

Mai
Pas grand-chose, si j’en crois mes propres articles. Cela ne va pas durer.
Ah si ! Parution de l’ouvrage Les Fondamentaux de la gestion de crise cyber, coordonné par Laurane Raimondo.

À découvrir → 2022 : bilan à mi-course

Juin
Sortie du référentiel d’identification électronique, qui impose peu ou prou à tout le monde la MFA d’ici à 2026. Bon, quand on sait que feu le décret Confidentialité, qui tentait d’exiger la même chose sur un périmètre plus petit, a fini par être abrogé faute de combattants, il est urgent de ne pas se presser.

Juillet
Les vacances qui approchent sont propices à la réflexion métaphysico-informatique, et votre serviteur vous sort une première divagation sur la question de savoir si RSSI et DPO sont ou pas des bullshit jobs[2], et une seconde sur la possibilité – ou pas – d’effacer réellement une donnée patient[3]. Qui fait d’ailleurs écho à un précédent article que j’avais commis sur l’usage de la crypto pour effacer une donnée[4].

Août.
Plage, tongs, comme d’habitude.

Septembre
Votre serviteur a dans le pif non pas le Cloud, mais les gugusses qui vous le mettent à toutes les sauces. Anne Boleyn aurait pu en parler[5].

Octobre
Petite actualité sur la question de la responsabilité d’une DSI en cas de crash.

Novembre
Énorme, un Éhpad insère des puces de géolocalisation dans les charentaises des pensionnaires pour pouvoir les tracer.

Décembre
ChatGPT, le début de la fin de la cyber. Je me demande d’ailleurs combien de mes chroniques il aurait pu écrire sans que vous vous en rendiez compte. Ai-je d’ailleurs écrit moi-même celle-ci ?

Bonne année, sûr que l’on ne chômera pas.

[1]   https://www.touteleurope.eu/societe/numerique-que-sont-le-dma-et-le-dsa-les-projets-europeens-de-regulation-d-internet/ 

[2]   /article/4786/rssi-et-dpo-sont-ils-des-bullshit-jobs.html 

[3]   /article/4790/effacer-une-donnee-medicale-d-un-patient-vraiment.html 

[4]   /article/3948/effacer-ses-donnees-les-briser-menu-ou-jeter-la-cle.html 

[5]   /article/4846/anne-boleyn-et-le-cloud.html 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.